A Microsoft Entra ID (előzetes verzió) használata gyorsítótár-hitelesítéshez

  • Cikk

Az Azure Cache for Redis két módszert kínál a gyorsítótárpéldány hitelesítésére:

Bár a hozzáférési kulcs hitelesítése egyszerű, számos kihívással jár a biztonság és a jelszókezelés terén. Ezzel szemben ebben a cikkben megtudhatja, hogyan használható a Microsoft Entra-jogkivonat a gyorsítótár-hitelesítéshez.

Az Azure Cache for Redis jelszó nélküli hitelesítési mechanizmust kínál a Microsoft Entra ID-val (előzetes verzió) való integrációval. Ez az integráció a nyílt forráskód Redisben támogatott hozzáférés-vezérlési listákon (ACL-eken) keresztül biztosított szerepköralapú hozzáférés-vezérlési funkciókat is magában foglalja.

Az ACL-integráció használatához az ügyfélalkalmazásnak fel kell vennie egy Microsoft Entra-entitás identitását, például a szolgáltatásnevet vagy a felügyelt identitást, és csatlakoznia kell a gyorsítótárhoz. Ebből a cikkből megtudhatja, hogyan csatlakozhat a szolgáltatásnévvel vagy a felügyelt identitással a gyorsítótárhoz, és hogyan adhat meg előre meghatározott engedélyeket a kapcsolathoz használt Microsoft Entra-összetevő alapján.

A rendelkezésre állás hatóköre

Tier Alap, Normál, Prémium Enterprise, Enterprise Flash
Elérhetőség Igen (előzetes verzió) Nem

Előfeltételek és korlátozások

  • A Microsoft Entra ID-alapú hitelesítés az SSL-kapcsolatok és a TLS 1.2-s vagy újabb verziói esetében támogatott.
  • A Microsoft Entra ID-alapú hitelesítés nem támogatott a Cloud Servicestől függő Azure Cache for Redis-példányokon.
  • A Microsoft Entra ID-alapú hitelesítés nem támogatott az Azure Cache for Redis Enterprise nagyvállalati szintjeiben.
  • Néhány Redis-parancs le van tiltva. A letiltott parancsok teljes listájáért tekintse meg az Azure Cache for Redisben nem támogatott Redis-parancsokat.

Fontos

Miután létrejött egy kapcsolat a Microsoft Entra-jogkivonat használatával, az ügyfélalkalmazásoknak rendszeres időközönként frissítenie kell a Microsoft Entra-jogkivonatot a lejárat előtt, és el kell küldenie egy AUTH parancsot a Redis-kiszolgálónak a kapcsolatok megszakadásának elkerülése érdekében. További információ: A Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára.

A Microsoft Entra ID-hitelesítés engedélyezése a gyorsítótárban

  1. Az Azure Portalon válassza ki az Azure Cache for Redis-példányt, ahol a Microsoft Entra tokenalapú hitelesítést szeretné konfigurálni.

  2. Válassza a Hitelesítés lehetőséget az Erőforrás menüben.

  3. A munkaablakban válassza az (ELŐZETES VERZIÓ) A Microsoft Entra-hitelesítés engedélyezése lehetőséget.

  4. Válassza a Microsoft Entra-hitelesítés engedélyezése lehetőséget, és adja meg egy érvényes felhasználó nevét. A beírt felhasználó alapértelmezés szerint automatikusan adattulajdonosi hozzáférési szabályzatot kap, amikor a Mentés lehetőséget választja. A gyorsítótárpéldányhoz való csatlakozáshoz megadhat egy felügyelt identitást vagy szolgáltatásnevet is.

    Képernyőkép az erőforrásmenüben kiválasztott hitelesítésről és a Microsoft Entra-hitelesítés engedélyezéséről.

  5. Megjelenik egy előugró párbeszédpanel, amely megkérdezi, hogy frissíteni szeretné-e a konfigurációt, és tájékoztatja, hogy az több percet vesz igénybe. Válassza az Igen lehetőséget.

    Fontos

    Az engedélyezési művelet befejeződése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.

A Microsoft Entra ID és az Azure CLI használatával kapcsolatos információkért tekintse meg az identitás hivatkozási lapjait.

Adatelérési konfiguráció használata a gyorsítótárral

Ha redis-adattulajdonos helyett egyéni hozzáférési szabályzatot szeretne használni, nyissa meg az Erőforrás menü Adathozzáférési konfigurációját . További információ: Egyéni adatelérési szabályzat konfigurálása az alkalmazáshoz.

  1. Az Azure Portalon válassza ki azt az Azure Cache for Redis-példányt, amelyhez hozzá szeretné adni az adatelérési konfigurációt.

  2. Válassza az (ELŐZETES VERZIÓ) Adatelérési konfigurációt az Erőforrás menüből.

  3. Válassza a Hozzáadás lehetőséget, és válassza az Új Redis-felhasználó lehetőséget.

  4. Az Access Policy lapon válassza ki a táblában elérhető szabályzatok egyikét: Adattulajdonos, Adatszolgáltató vagy Adatolvasó. Ezután válassza a Tovább:Redis-felhasználók lehetőséget.

    Képernyőkép az elérhető hozzáférési szabályzatról.

  5. Válassza ki a felhasználót, a szolgáltatásnevet vagy a felügyelt identitást annak meghatározásához, hogyan rendelhet hozzáférést az Azure Cache for Redis-példányhoz. Ha a Felhasználó vagy szolgáltatásnév lehetőséget választja, és hozzá szeretne adni egy felhasználót, először engedélyeznie kell a Microsoft Entra-hitelesítést.

  6. Ezután válassza a Tagok kijelölése és a Kiválasztás lehetőséget. Ezután válassza a Tovább: Véleményezés + Hozzárendelés lehetőséget. Képernyőkép az új Redis-felhasználókként felvenni kívánt tagokról.

  7. A párbeszédpanelen megjelenik egy előugró ablak, amely értesíti Önt arról, hogy a frissítés végleges, és rövid kapcsolati pontot okozhat. Válassza az Igen lehetőséget.

    Fontos

    Az engedélyezési művelet befejeződése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.

A Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára

Mivel a Legtöbb Azure Cache for Redis-ügyfél feltételezi, hogy jelszó és hozzáférési kulcs van használatban a hitelesítéshez, valószínűleg frissítenie kell az ügyfél-munkafolyamatot, hogy támogassa a Hitelesítést a Microsoft Entra-azonosító használatával. Ebben a szakaszban megtudhatja, hogyan konfigurálhatja az ügyfélalkalmazásokat úgy, hogy Microsoft Entra-jogkivonat használatával csatlakozzanak az Azure Cache for Redishez.

Microsoft Entra-ügyfél munkafolyamata

  1. Konfigurálja az ügyfélalkalmazást egy Microsoft Entra-jogkivonat hatókörhöz való beszerzéséhez, https://redis.azure.com/.default vagy acca5fbb-b7e4-4009-81f1-37e38fd66d78/.defaulta Microsoft Authentication Library (MSAL) használatával.

  2. Frissítse a Redis kapcsolati logikáját a következők User és Passworda következők használatára:

    • User = A felügyelt identitás vagy szolgáltatásnév objektumazonosítója
    • Password = Az MSAL használatával beszerzett Microsoft Entra-jogkivonat

  3. Győződjön meg arról, hogy az ügyfél automatikusan végrehajt egy Redis AUTH-parancsot , mielőtt a Microsoft Entra-jogkivonat lejár a következő használatával:

    • User = A felügyelt identitás vagy szolgáltatásnév objektumazonosítója
    • Password = A Microsoft Entra-jogkivonat rendszeresen frissül

Ügyféloldali kódtár támogatása

A kódtár Microsoft.Azure.StackExchangeRedis egy olyan bővítmény StackExchange.Redis , amely lehetővé teszi a Microsoft Entra ID használatával a Redis-ügyfélalkalmazások és az Azure Cache for Redis közötti kapcsolatok hitelesítését. A bővítmény kezeli a hitelesítési jogkivonatot, beleértve a jogkivonatok proaktív frissítését, mielőtt lejárnának, hogy több napon keresztül fenntartsák az állandó Redis-kapcsolatokat.

Ez a kódminta bemutatja, hogyan használható a Microsoft.Azure.StackExchangeRedis NuGet-csomag az Azure Cache for Redis-példányhoz való csatlakozáshoz a Microsoft Entra ID használatával.

Az alábbi táblázat kódmintákra mutató hivatkozásokat tartalmaz, amelyek bemutatják, hogyan csatlakozhat az Azure Cache for Redis-példányhoz Egy Microsoft Entra-token használatával. Az ügyfélkódtárak számos különböző nyelven érhetők el.

Ügyfélkódtár Nyelv Hivatkozás mintakódra
StackExchange.Redis .NET StackExchange.Redis-kódminta
redis-py Python redis-py kódminta
Jedis Java Jedis-kódminta
Lettuce Java Salátakódminta
Redisson Java Redisson-kódminta
ioredis Node.js ioredis-kódminta
node-redis Node.js node-redis-kódminta

Ajánlott eljárások a Microsoft Entra-hitelesítéshez

  • Konfiguráljon privát hivatkozásokat vagy tűzfalszabályokat a gyorsítótár szolgáltatásmegtagadási támadásokkal szembeni védelméhez.

  • A kapcsolat megszakadásának elkerülése érdekében győződjön meg arról, hogy az ügyfélalkalmazás legalább 3 perccel a jogkivonat lejárta előtt küld egy új Microsoft Entra-jogkivonatot.

  • Ha rendszeresen meghívja a Redis-kiszolgáló AUTH parancsát, érdemes lehet egy jittert hozzáadni, hogy a AUTH parancsok átmenetiek legyenek, és a Redis-kiszolgáló egyszerre nem kap sok AUTH parancsot.

Kapcsolódó tartalom